Actualités de la sécurité

L’outil de déchiffrement du ransomware Mac FindZip décompresse vos fichiers chiffrés

Avast Security Blogger, 24 avril 2017

Avast lance un nouvel outil de déchiffrage destiné à aider les utilisateurs de Mac infectés par le ransomware FindZip à déchiffrer leurs fichiers.

Un nouveau type de ransomware pour Mac a été découvert fin février 2017. Ce ransomware, appelé FindZip, infecte les ordinateurs des utilisateurs en se faisant passer pour une version piratée d’applications commerciales, comme Adobe Premiere Pro. Lorsqu’il infecte un Mac, il utilise un chiffrage ZIP pour chiffrer les documents, le même mode opératoire que Bart, le ransomware de Windows que nous avons déchiffré l’été dernier.

MalwareBytes a déjà publié une analyse technique de FindZip ainsi qu’une description de son processus de déchiffrage. Étant donné que les instructions données par MalwareBytes peuvent cependant paraître compliquées pour certains, nous avons créé une application de déchiffrement simple à utiliser.

L’outil de déchiffrement FindZip est disponible sur notre page d’outils de déchiffrement de ransomware gratuits avec tous nos autres outils de déchiffrement de ransomware.

01.png

Exécuter le logiciel de déchiffrement de ransomware sous Windows

Si vous décidez de copier vos fichiers chiffrés de votre Mac vers un système Windows, utiliser notre logiciel de déchiffrement devrait être simple et vous n’aurez pas besoin d’installer d’autres logiciels.

02.png

Exécuter le logiciel de déchiffrement de ransomware sur Mac

Comme les logiciels de déchiffrement de ransomware mis à disposition par Avast sont des applications Windows, les utilisateurs de Mac (et de Linux) doivent installer une couche d’émulation pour l’application Windows. Le logiciel de déchiffrement a été testé avec CrossOver et Wine, et il peut également fonctionner avec d’autres programmes d’émulation.

Ce guide explique comment exécuter l’outil de déchiffrement à l’aide de Wine pour Mac. L’outil de déchiffrement a été testé sous MacOS 10.10 (Yosemite) et 10.12 (Sierra).

Installer XQuartz

Vous devez d’abord installer un système de fenêtrage pour votre Mac. Rendez-vous sur https://www.xquartz.org (ou recherchez « XQuartz pour Mac » sur Google) et téléchargez le fichier d’installation DMG.

03.png

Si le fichier téléchargé ne s’ouvre pas automatiquement, ouvrez-le depuis votre dossier Téléchargements.

04.png

Faites un double clic sur l’icône « Quartz.pkg » et le programme d'installation devrait s’ouvrir.

05.png

Continuez à cliquer sur « Continuer » ou « Installer ». Vous devrez peut-être accepter le contrat de licence et saisir votre mot de passe pour installer une nouvelle application. L’installation peut prendre quelques minutes. Au cours de l’installation, vous devrez peut-être vous déconnecter et vous reconnecter pour terminer le processus.

06.png

Remarque : si vous avez ignoré l’installation de XQuartz pour installer Wine directement, Wine vous fera probablement remarquer que vous devez d’abord installer XQuartz :)

Installer Wine

Rendez-vous sur https://wiki.winehq.org/MacOS (ou recherchez « Wine pour Mac » sur Google et pas seulement « wine » ;-) ), puis cliquez sur le lien pour télécharger les packages PKG. Téléchargez « Installer for Wine Staging » :

07.png

Après le téléchargement, vous le trouverez dans votre dossier Téléchargements :

08.png

Exécutez le programme d'installation en faisant un double clic sur l’icône :

09.png

Cliquez sur « Continuer », puis sélectionnez « Installer pour tous les utilisateurs de cet ordinateur ». Continuez ensuite à cliquer sur « Continuer » et « Installer ». Vous devrez peut-être saisir votre mot de passe car vous installez une nouvelle application. Une fois l'installation terminée, cliquez sur « Fermer ».

Vous pouvez désormais télécharger le logiciel de déchiffrement Avast et l’utiliser en toute simplicité.

Remarque importante : si vous aviez déjà installé Wine avant d’être infecté par le ransomware, toute la configuration de Wine est probablement chiffrée. Dans ce cas, vous devez supprimer le dossier \Utilisateurs\<VotreNom>\.wine avant d’exécuter l'application de déchiffrement.

Lancer l'application de déchiffrement

Pour exécuter le logiciel de déchiffrement, téléchargez-le depuis notre page Outils de déchiffrement gratuits Avast et faites un double clic sur l’icône de l’application :

10.png

La configuration pour la première exécution prendra du temps.

  • Si l’on vous demande d’installer « Mono », cliquez sur « Annuler ».
  • Si l'on vous demande d’installer Gecko, cliquez sur « Installer » et laissez le programme d'installation le télécharger, puis installez-le.

Lorsque la configuration initiale est terminée, le logiciel de chiffrement s’exécutera et affichera l’écran « Bienvenue » :

11.png

Dans la fenêtre suivante (après avoir cliqué sur « Suivant »), vous pourrez sélectionner un ou plusieurs emplacements où se trouvent les fichiers déchiffrés. Par défaut, elle contient le nom du dossier local de l’utilisateur actuel :

12.png

Le réglage par défaut est généralement convenable. Cliquez sur « Suivant ». Vous devez ensuite indiquer deux fichiers originaux/chiffrés. Vous pouvez soit glisser-déposer depuis les dossiers du Mac, soit rechercher le fichier en cliquant sur « ... ».

13.png

Lorsque les deux fichiers ont été indiqués, cliquez sur « Suivant ».

14.png

Le processus de cracking du mot de passe s’effectue sur cet écran. Cliquez sur « Démarrer » et attendez que le logiciel de chiffrement trouve le mot de passe. Il faut environ une minute pour trouver le mot de passe des fichiers chiffrés par FindZip.

15.png

Lorsque le cracking du mot de passe est terminé, cliquez sur « Suivant ».

Sur le dernier écran, vous pouvez choisir de ne pas créer de copies de sauvegarde pendant le processus de déchiffrage. Il n’est cependant pas recommandé de faire ce choix.

16.png

Après avoir cliqué sur « Déchiffrer », l’application déchiffrera tous les fichiers du dossier indiqués à l’écran « Sélectionner emplacement(s) à déchiffrer ».

17.png

Quand le déchiffrage est terminé, cliquez sur « Fermer ». C’est terminé ! Vos fichiers sont déchiffrés !

Remerciements particuliers

Nous voudrions remercier Peter Conrad, l’auteur de PkCrack, qui nous a autorisés à utiliser sa bibliothèque dans nos logiciels de déchiffrement. En outre, nous souhaiterions également adresser des remerciements spéciaux à notre collègue Ladislav Zezula, qui a développé ce logiciel de déchiffrement.

IOC

c68814901d0af5de410c152e62a06a51c16ec7fe118f1e5251bbcdbb27364709

d19b903adbd0f8c119d0d8f25b194bdd24b737357a517f23ca5cdc6c75b35038

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.